نظرة عامة على جلسات عمل Azure Container Apps الديناميكية

توفر جلسات Azure Container Apps الديناميكية وصولا سريعا إلى بيئات الاختبار المعزولة الآمنة المثالية لتشغيل التعليمات البرمجية أو التطبيقات التي تتطلب عزلا قويا عن أحمال العمل الأخرى.

تحتوي جلسات العمل على السمات التالية:

• عزل قوي: يتم عزل الجلسات عن بعضها البعض وعن البيئة المضيفة. تعمل كل جلسة في بيئة الاختبار المعزولة Hyper-V الخاصة بها، ما يوفر أمانا وعزلا على مستوى المؤسسة. اختياريا، يمكنك تمكين عزل الشبكة لتحسين الأمان بشكل أكبر.

• الوصول البسيط: يتم الوصول إلى الجلسات من خلال واجهة برمجة تطبيقات REST. يحدد المعرف الفريد كل جلسة عمل. إذا لم تكن هناك جلسة عمل ذات معرف معين، يتم تخصيص جلسة عمل جديدة تلقائيا.

• مدارة بالكامل: يدير النظام الأساسي دورة حياة الجلسة بشكل كامل. يتم تنظيف جلسات العمل تلقائيا عندما لا تكون قيد الاستخدام.

• بدء التشغيل السريع: يتم تخصيص جلسة جديدة بالمللي ثانية. يتم تحقيق عمليات البدء السريعة من خلال الحفاظ تلقائيا على مجموعة من الجلسات الجاهزة ولكن غير المخصصة.

• قابل للتطوير: يمكن تشغيل الجلسات على نطاق واسع. يمكنك تشغيل مئات أو آلاف الجلسات بشكل متزامن.

أنواع جلسات العمل

تدعم Azure Container Apps نوعين من الجلسات:

مترجم التعليمات البرمجية

تسمح لك جلسات مترجم التعليمات البرمجية بتشغيل التعليمات البرمجية في بيئة الاختبار المعزولة المثبتة مسبقا مع المكتبات الشائعة. وهي مثالية لتشغيل التعليمات البرمجية غير الموثوق بها، مثل التعليمات البرمجية التي يوفرها مستخدمو التطبيق الخاص بك أو التعليمات البرمجية التي تم إنشاؤها بواسطة نموذج لغة كبير (LLM). تعرف على المزيد حول جلسات مترجم التعليمات البرمجية.

حاوية مخصصة

تسمح لك جلسات الحاوية المخصصة بتشغيل صور الحاوية الخاصة بك في بيئة الاختبار المعزولة الآمنة. يمكنك استخدامها لتشغيل مترجم تعليمات برمجية مخصصة للغة غير مدعومة خارج الصندوق، أو لتشغيل أحمال العمل التي تتطلب عزلا قويا. تعرف على المزيد حول جلسات عمل الحاوية المخصصة.

المفاهيم

المفاهيم الرئيسية في جلسات عمل Azure Container Apps الديناميكية هي تجمعات جلسات العمل والجلسات.

تجمعات جلسات العمل

لتوفير أوقات تخصيص جلسة عمل فرعية، تحتفظ Azure Container Apps بمجموعة من الجلسات الجاهزة ولكن غير المخصصة. عند إرسال طلب إلى جلسة عمل جديدة، يخصص النظام الأساسي جلسة عمل من التجمع لك. مع تخصيص الجلسات، يقوم النظام الأساسي تلقائيا بتجديد التجمع للحفاظ على عدد ثابت من الجلسات الجاهزة.

يمكنك تكوين التجمعات لتعيين الحد الأقصى لعدد جلسات العمل التي يمكن تخصيصها بشكل متزامن عبر الخاصية maxConcurrentSessions . يمكنك تعيين مدة الانتظار من الطلب الأخير قبل حذف الخاصية cooldownPeriodInSeconds جلسة عمل. بالنسبة لجلسات عمل الحاوية المخصصة، يمكنك أيضا تحديد صورة الحاوية والإعدادات لاستخدامها للجلسات في التجمع، بما في ذلك العدد المستهدف من جلسات العمل للحفاظ على استعداد في التجمع عبر readySessionInstances.

جلسات العمل

الجلسة هي بيئة الاختبار المعزولة التي تقوم بتشغيل التعليمات البرمجية أو التطبيق الخاص بك. يتم عزل كل جلسة عمل عن جلسات العمل الأخرى ومن بيئة المضيف باستخدام بيئة الاختبار المعزولة Hyper-V . اختياريا، يمكنك تمكين عزل الشبكة لتحسين الأمان بشكل أكبر.

يمكنك التفاعل مع جلسات العمل في تجمع جلسة عمل عن طريق إرسال طلبات HTTP. يحتوي كل تجمع جلسة عمل على نقطة نهاية فريدة لإدارة التجمع.

بالنسبة لجلسات مترجم التعليمات البرمجية، يمكنك أيضا استخدام تكامل مع إطار عمل LLM.

معرفات الجلسة

لإرسال طلب HTTP إلى جلسة عمل، يجب توفير معرف جلسة عمل في الطلب. يمكنك تمرير معرف جلسة العمل في معلمة استعلام مسماة identifier في عنوان URL عند تقديم طلب إلى جلسة عمل.

• إذا كانت هناك جلسة عمل بالمعرف موجودة بالفعل، يتم إرسال الطلب إلى جلسة العمل الموجودة.
• إذا لم تكن هناك جلسة عمل بالمعرف، يتم تخصيص جلسة عمل جديدة تلقائيا قبل إرسال الطلب إليها.

تنسيق المعرف

معرف جلسة العمل هو سلسلة حرة الشكل، ما يعني أنه يمكنك تعريفه بأي طريقة تناسب احتياجات التطبيق الخاص بك.

معرف جلسة العمل هو سلسلة تقوم بتعريفها فريدة داخل تجمع جلسة العمل. إذا كنت تقوم بإنشاء تطبيق ويب، يمكنك استخدام معرف المستخدم كمعرف جلسة العمل. إذا كنت تقوم بإنشاء روبوت دردشة، يمكنك استخدام معرف المحادثة.

يجب أن يكون المعرف سلسلة من 4 إلى 128 حرفا ويمكن أن يحتوي فقط على أحرف أبجدية رقمية وأحرف خاصة من هذه القائمة: |و -&و><;][}{($)^%#.

حماية معرفات الجلسة

معرف جلسة العمل هو معلومات حساسة يجب عليك إدارتها بشكل آمن. يحتاج التطبيق الخاص بك إلى التأكد من أن كل مستخدم أو مستأجر لديه حق الوصول إلى جلسات العمل الخاصة به فقط.

تختلف الاستراتيجيات المحددة التي تمنع إساءة استخدام معرفات الجلسة اعتمادا على تصميم وبنية تطبيقك. ومع ذلك، يجب أن يتمتع تطبيقك دائما بالتحكم الكامل في إنشاء معرفات الجلسة واستخدامها حتى لا يتمكن المستخدم الضار من الوصول إلى جلسة عمل مستخدم آخر.

تتضمن استراتيجيات المثال ما يلي:

• جلسة عمل واحدة لكل مستخدم: إذا كان تطبيقك يستخدم جلسة عمل واحدة لكل مستخدم، فيجب مصادقة كل مستخدم بشكل آمن، ويجب أن يستخدم تطبيقك معرف جلسة عمل فريدا لكل مستخدم قام بتسجيل الدخول.
• جلسة عمل واحدة لكل محادثة عامل: إذا كان تطبيقك يستخدم جلسة عمل واحدة لكل محادثة وكيل الذكاء الاصطناعي، فتأكد من أن تطبيقك يستخدم معرف جلسة عمل فريدا لكل محادثة لا يمكن تعديلها من قبل المستخدم النهائي.

المصادقة والتخويل

عند إرسال طلبات إلى جلسة عمل باستخدام واجهة برمجة تطبيقات إدارة التجمع، تتم معالجة المصادقة باستخدام الرموز المميزة ل Microsoft Entra (المعروف سابقا ب Azure Active Directory). يتم تخويل رموز Microsoft Entra المميزة فقط من هوية تنتمي إلى دور منفذ جلسة عمل Azure ContainerApps في تجمع الجلسة لاستدعاء واجهة برمجة تطبيقات إدارة التجمع.

لتعيين الدور إلى هوية، استخدم أمر Azure CLI التالي:

az role assignment create \
    --role "Azure ContainerApps Session Executor" \
    --assignee <PRINCIPAL_ID> \
    --scope <SESSION_POOL_RESOURCE_ID>

إذا كنت تستخدم تكامل إطار عمل LLM، فإن إطار العمل يعالج إنشاء الرمز المميز وإدارته نيابة عنك. تأكد من تكوين التطبيق بهوية مدارة مع تعيينات الدور الضرورية في تجمع الجلسة.

إذا كنت تستخدم نقاط نهاية API لإدارة التجمع مباشرة، يجب إنشاء رمز مميز وتضمينه في Authorization عنوان طلبات HTTP الخاصة بك. بالإضافة إلى تعيينات الدور المذكورة سابقا، يجب أن يحتوي الرمز المميز على مطالبة جماعة مستهدفة (aud) بقيمة https://dynamicsessions.io.

az account get-access-token --resource https://dynamicsessions.io

dotnet add package Azure.Identity

using Azure.Identity;

var credential = new DefaultAzureCredential();
var token = credential.GetToken(new TokenRequestContext(new[] { "https://dynamicsessions.io/.default" }));
var accessToken = token.Token;

npm install @azure/identity

const { DefaultAzureCredential } = require("@azure/identity");
const { TokenCredential } = require("@azure/core-auth");

const credential = new DefaultAzureCredential();
const token = await credential.getToken("https://dynamicsessions.io/.default");
const accessToken = token.token;

pip install azure-identity

from azure.identity import DefaultAzureCredential

credential = DefaultAzureCredential()
token = credential.get_token("https://dynamicsessions.io/.default")
access_token = token.token

دورة الحياة

يقوم وقت تشغيل Container Apps تلقائيا بإدارة دورة حياة كل جلسة عمل في تجمع جلسة عمل.

• معلق: عند بدء جلسة العمل، تكون في الحالة المعلقة. يعتمد مقدار الوقت الذي تقضيه جلسة العمل في الحالة المعلقة على صورة الحاوية والإعدادات التي تحددها لتجمع جلسة العمل. لا تتم إضافة جلسة معلقة إلى مجموعة الجلسات الجاهزة.

• جاهز: عند الانتهاء من بدء جلسة العمل وجاهزة، تتم إضافتها إلى التجمع. تتوفر جلسة العمل في هذه الحالة للتخصيص. بالنسبة لجلسات عمل الحاوية المخصصة، يمكنك تحديد العدد المستهدف للجلسات الجاهزة للاحتفاظ بها في التجمع. قم بزيادة هذا الرقم إذا تم تخصيص جلسات عمل أسرع من تجديد التجمع.

• مخصص: عند إرسال طلب إلى جلسة عمل غير قيد التشغيل، يوفر التجمع جلسة عمل جديدة ووضعها في حالة مخصصة. يتم توجيه الطلبات اللاحقة ذات معرف جلسة العمل نفسه إلى نفس جلسة العمل.

• الحذف: عندما تتوقف جلسة العمل عن تلقي الطلبات خلال الوقت المحدد بواسطة cooldownPeriodInSeconds الإعداد، يتم حذف الجلسة وبيئة الاختبار المعزولة Hyper-V الخاصة بها بشكل كامل وآمن.

الأمان

تم إنشاء جلسات عمل ديناميكية لتطبيقات حاوية Azure لتشغيل التعليمات البرمجية والتطبيقات غير الموثوق بها في بيئة آمنة ومعزولة. بينما يتم عزل جلسات العمل عن بعضها البعض، يمكن لمستخدمي الجلسة الوصول إلى أي شيء داخل جلسة عمل واحدة، بما في ذلك الملفات ومتغيرات البيئة. يجب عليك تكوين البيانات الحساسة أو تحميلها إلى جلسة عمل فقط إذا كنت تثق بمستخدمي الجلسة.

بشكل افتراضي، يتم منع جلسات العمل من إجراء طلبات الشبكة الصادرة. يمكنك التحكم في الوصول إلى الشبكة عن طريق تكوين إعدادات حالة الشبكة على تجمع الجلسة.

بالإضافة إلى ذلك، اتبع الإرشادات الواردة في قسم المصادقة والتخويل للتأكد من أن المستخدمين المصرح لهم فقط يمكنهم الوصول إلى الجلسات وفي قسم حماية معرفات الجلسة لضمان أمان معرفات الجلسة.

توافر المناطق

تتوفر جلسات العمل الديناميكية في المناطق التالية:

المحتوى ذو الصلة

• أنواع الجلسات: تعرف على الأنواع المختلفة من الجلسات الديناميكية:

  • جلسات مترجم التعليمات البرمجية
  • جلسات عمل الحاوية المخصصة

• البرامج التعليمية: العمل مباشرة مع واجهة برمجة تطبيقات REST أو عبر عامل LLM:

  • استخدام عامل LLM:
    • AutoGen
    • LangChain
    • LlamaIndex
    • نواة دلالية
  • استخدام واجهة برمجة تطبيقات REST
    • مترجم JavaScript Code